분류 전체보기
-
fd#02. 기존공부/#02.1 시스템 2019. 3. 4. 20:10
1. fd 문제읽어보기Mommy! what is a file descriptor in Linux?엄마! 리눅스에서 파일 디스크립터가 뭐에요??* try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link:* 워게임을 혼자 풀어봐라 그러나 너가 완전 초보자라면 아래 튜토리얼 링크를 따라가보라:https://youtu.be/971eZhMHQQw 2. 파일 디스크립터란?프로세스로 메모리에 적재되어 실행될 때 기본적으로 표준입력, 표준출력, 표준에러라는 파일 디스크립터(fd)를 할당해준다. 각각 0, 1, 2라는 정수가 할당되며 (1)POSIX 표준에서는 STDIN_FILENO, STDOUT_FILENO..
-
2019.02.28 신용카드 노리는 극성 범죄자들, 구글 애널리틱스와 앵귤러 흉내#00. 보안기사 2019. 3. 4. 14:25
1. 기사 요약 Google Analytics나 Angular의 JavaScript 파일인 척 하여 교묘하게 감시자의 눈을 피하는 방법을 사용한다. 주로 피해가 발생하는 곳은 마젠토(Magento)로 구축된 사이트들이다. 이러한 JavaScript 구성요소들이 동작할 때 정상적인 작업이 진행되는 것처럼 보이도록 한다.이 가짜 JS 스크립트들이 마젠토 DB에 주입된다. 대부분 행이 보기 좋게 나눠져 있지 않고, 길고 거대한 코드 한줄로 들어가나 침해된 사이트들 마다 복호화 키나 암호화 URL이 다르다.angular.io, algularToken, angularCdn, angularPages 등 앵귤러와 관련이 깊어 보이는 키워드들이 다양하게 등장하기에 눈으로 알아보기 쉽지 않다. 원본변조링크 www.goo..
-
개인정보보호 실무론#03. 개인정보 2019. 3. 3. 12:09
1. 개인정보보호 일반관리① 개인정보의 안전한 관리▶ 개인정보 안전조치 의무개인정보 처리자는 개인정보가 분실·도난·위조·변조 또는 훼손되지 않도록 내부 관리계획 수릭, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하여야 한다.Q. 그럼 대통령령에서 말하는 안전성 확보조치는 무엇이 있을까??A. 시행령 30조(개인정보 안전성 확보 조치)에 나와있다.1) 개인정보의 안전한 처리를 위한 내부관리계획의 수립·시행(연 1회 이상 점검·관리해야한다):: 개인정보 보호책임자의 지정에 관한 사항, 보호책임자 및 취급자의 역할 및 책임, 췩브자에 대한 교육, 접근 권한의 관리, 접근 통제, 개인정보의 암호화 조치, 접속기록 보관 및 점검, 악성프로그램 등 방지, 물리..
-
개인정보 관련 법률론_전문#03. 개인정보 2019. 3. 2. 12:11
1. 개인정보보호법① 개인정보 열람과 안전성의 확보 ▶ 개인정보보호보호법 제 35조 (개인정보의 열람)① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다.③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간(10일) 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, ..
-
개인정보보호#03. 개인정보 2019. 3. 1. 15:59
CPPG 보기 전 한국정보평가협회에서 진행하는 개인정보보호사를 보려한다!!! 1. 개인정보보호의 이해① 개인정보보호의 개념 ▶ 개인정보란 무엇인가 1) [살아있는]자연인이여야 한다. >사망한 자, 자연인이 아닌 법인, 단체 사물등에 관한 정보는 개인정보에 해당하지 않는다.2) [개인에 관한] 정보이여야 하기에 여럿이 모여 이룬 집단의 통계값 등은 개인정보가 아니다.3) [정보]의 종류, 형태, 성격, 형식 등에 관하여는 특별한 제한이 없다.4) [개인을 알아볼 수 있는 정보]이기에 특정 개인을 알아보기 어려운 정보는 개인정보가 아니다. >허나 쉽게 결합할 수 있는 정보는 개인정보로 포함된다.5) [다른정보와 쉽게 결합하는 정보]란 결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고, 또 다른 정보와의..
-
2019.02.21 GDPR을 리스크로 인지하는 서구 시장, 보험 상품도 등장#00. 보안기사 2019. 2. 21. 19:03
1. 기사 요약 사이버 보험상품을 제공하는 업체 콜리션(Coalition)이 유럽연합 시민들의 개인정보를 취급하는 중소기업을 대상으로 유럽연합의 GDPR을 제대로 지키지 못했을 때의 벌금 및 각종 비용 처리를 목적으로 하는 보험상품을 만들었다. GDPR 위반 시 법정 변호에 드는 비용과 벌금까지도 보장해주는 상품이다. 기존의 보험상품은 데이터와 프라이버시 사고가 발생했을 때의 비용을 보장해주지만, 콜리션의 새 상품은 GDPR정책으로 인해 벌금이 부과되거나 고객과 문제가 생겼을 때의 상황도 보장해준다. 이는 GDPR이 데이터 유출 사고가 발생하지 않아도 벌금 부과가 가능하기 때문이다. 2. GDPR의 장점과 단점 EU 유럽연합에서 실행하는 개인정보 정책으로 OPT-IN 방식을 사용하는 모습이 국내의 개인정..
-
2019.02.13 불법사이트 HTTPS 차단 정책!#00. 보안기사 2019. 2. 20. 21:56
1. new 차단정책이 등장하셨다! 방송통신위원회가 불법음란물 및 불법도박 등 불법정보를 보안접속(HTTPS) 및 우회접속 방식으로 유통하는 해외 인터넷 사이트에 대한 접속차단 기능을 고도화하고, 방송통신심의위원회의 통신심의 결과(2월 11일 불법 해외사이트 차단결정 895건)를 시작으로 적용한다고 밝혔다. 이 사건으로 쟁점이 두개가 생겼는데1. 불법동영상까지 막으면 어떻게하냐!!2. 감청 아니냐!!이 두가지이다. 첫번째는 넘어가자 어차피 사이트는 많다.두번째 감청이 아니냐!! 를 살펴보자. 2. SNI 방식이 무엇이길래..? 찬성측반대측 1. 통신감청과는 무관하다 - 방송통신위원회(14일 해명자료) 2. 통신비밀보호법상 감청은 암호화된 전기통신 내용을 열람 가능한 상태로 전환해 내용을 파악하는 것인데 ..
-
VMware 포트포워딩/ SQL 복원/ SSL 서버 설치#02. 기존공부/#02.3 웹해킹 2019. 2. 3. 19:36
1. VMware포트포워딩 설정 실습을 위해 웹서버를 세팅해보자!라고 마음먹고 작업하던 도중 DHCP로 ip가 되어있어서 ssh연결이 끊겨버렸다. vim /etc/network/interfaces 명령어를 사용하여 static으로 설정을 변경하자system restart networking.service 로 재시작도 하였으나 연결이 되지 않는다. 검색해보니 캐시가 남아있어서 그런 듯 하다.ip addr flush ens33 명령어를 사용하여 캐시를 비워주자 연결이 성공하였다! 라고 생각한지 1분 30초만에 아래의 화면과 함께 연결이 끊어졌다.연결이 되었다고 하나 쉘이 뜨지 않는다... ifconfig 명령어를 사용해 route -n명령어를 사용해 Gateway가 설정되어있는지 먼저 살펴보니 게이트웨이 정..